Autenticação / Token / Validação

[Matheus Piscioneri]

Boa tarde galera.

Tenho um app que não tem login nem qualquer tipo de autenticação.

Em determinado momento da aplicação, preciso enviar alguns dados que o usuário forneceu a web. Para isso estou utilizando o Volley e enviando por POST para um WebService que criei.

Gostaria de saber se tem alguma forma para eu verificar que  esse POST realmente esta sendo feito pelo app, para impedir que pessoas má intencionadas façam a engenharia reversa no app, descubra a URL e faça um robozinho para ficar mandando POST com informações fakes para o Web Service.

Conhecem alguma forma?

Matheus Piscioneri

Portfólio: http://matheuspiscioneri.com.br
Blog: http://matheuspiscioneri.com.br/blog

Aplicativos Android: http://matheuspiscioneri.com.br/apps

[Lucas Emmanuel]

Matheus, pensei em uma coisa fácil e não sei se vai ser das melhores... mas cria uma variável string static ai com uma hash para todos os apps e manda ela na hora do POST...

[Matheus Piscioneri]

Iai Lucas.

Pensei em uma alternativa assim também, mas se o cara fizer engenharia reversa e ver esse Hash, ele tbm conseguirá postar.

Tem alguma forma de "esconder" esse Hash?

[Gink Labrev]

Cara,

Cria um token no server, envie para sua app e só consegue postar apps autenticadas.

Isso aqui deve te ajudar.

http://stackoverflow.com/questions/16817980/how-does-one-use-basic-authentication-with-volley-on-android

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-...@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

[Matheus Piscioneri]

Gink, no exemplo que você mandou, entendi que os caras criam um hash com o User e Pass, mas se eu consigo ver esses dados, também posso gerar uma aplicação com esse hash e burlar? Não é?

No caso do que você falou, de gerar um token no server, como eu identifico no app se esse token é válido? E nesse caso, vou ter que fazer sempre uma requisição a mais, toda vez que tiver que comunicar com o server.

Matheus Piscioneri

Portfólio: http://matheuspiscioneri.com.br
Blog: http://matheuspiscioneri.com.br/blog

Aplicativos Android: http://matheuspiscioneri.com.br/apps

[Rômulo Nadler]

Matheus,

Eu faria assim: no aplicativo geraria um hash que seria um calculo da DATA + HORA com um verificador, no server fazia o processo reverso. Quanto a questão de capturarem o hash e tentarem usar é só checar se faz 1 minuto que passou da data e hora se sim, provavelmente ele foi clonado...a idéia seria essa

[Matheus Piscioneri]

Rômulo, será que a questão de fuso horário pode interferir nessa verificação? E se o cara malicioso fizer um loop gerando sempre o hash com a data, hora e o identificador e ficar postando? 

Matheus Piscioneri

Portfólio: http://matheuspiscioneri.com.br
Blog: http://matheuspiscioneri.com.br/blog

Aplicativos Android: http://matheuspiscioneri.com.br/apps

--
You received this message because you are subscribed to a topic in the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this topic, visit https://groups.google.com/d/topic/androidbrasil-dev/8iY10H2iW44/unsubscribe.
To unsubscribe from this group and all its topics, send an email to androidbrasil-...@googlegroups.com.

[Rômulo Nadler]

O verificador seria um cálculo seu como o digito verificador do cpf...

Quando chegar no servidor você saberá que seu aplicativo que esta enviado devido ao digito verificador

Se for clonado terá passado x segundos ou minutos... só teria que ver a questão de fuso.

[Marcelo Alves]

Vocês estão reinventando OAuth.​

Se quiser "garantir" um pouco mais de segurança, pode tentar usar autenticação mútua (https://en.wikipedia.org/wiki/Mutual_authentication ), mas isso também não impede (só atrasa), alguém de fazer engenharia reversa e usar seu certificado, já que ele tem que estar local. Vantagem é que periodicamente você pode revogar o certificado e forçar usuários a atualizar o app.

[Gink Labrev]

Matheus,

A maneira mais prática é salvar esses tokens em Redis. Assim o tempo gasto para verificar a existência do token é praticamente insignificante, pois ocorre na memória, não no disco.

Não é necessário fazer duas requisições. Você irá usar um hash e alocará este no cabeçalho "Authorization".

Há bibliotecas prontas para isso, de forma que não é necessário fazer manualmente.

Um exemplo é a com.squareup.okhttp.Credentials.basic(String userName, String token). A string retornada é o hash no formato basic auth.

Como seu app não usa userName, pelo que entendi, este pode ser o nome da sua app mesmo (ou qq constante).

O importante é garantir que você é capaz de gerar uma chave de rápido acesso no servidor e o garantir que a app irá acoplá-la nas requisições.

O OAuth tb serve, mas é de implementação mais complexa. O basic auth, como o nome diz, é mais básico e atende seu caso.

Em 12 de junho de 2015 17:26, Marcelo Alves <marcel...@gmail.com> escreveu:

Vocês estão reinventando OAuth.​

Se quiser "garantir" um pouco mais de segurança, pode tentar usar autenticação mútua (https://en.wikipedia.org/wiki/Mutual_authentication ), mas isso também não impede (só atrasa), alguém de fazer engenharia reversa e usar seu certificado, já que ele tem que estar local. Vantagem é que periodicamente você pode revogar o certificado e forçar usuários a atualizar o app.

[Matheus Piscioneri]

Obrigado pelas respostas.

Estou tentando utilizar o getHeaders() do Volley para passar uma hash com Base64. 

O getParams() estou enviando e pego no PHP por POST, vocês sabem como eu pego a hash que estou enviado pelo getHeaders() no PHP?

[Gink Labrev]

Acho que pode lhe ajudar

http://stackoverflow.com/a/7876726

[Matheus Piscioneri]

Muito obrigado Gink.

Vou estudar isso!!